Equifax: aggiornamenti sul disastro informatico, incompetenze incredibili
- Articolo multipagina2 / 2
[ZEUS News - www.zeusnews.it - 21-09-2017]
Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Rubati a Equifax i dati di metà degli americani
La settimana scorsa ho segnalato l'attacco informatico sferrato contro Equifax, che ha consentito la sottrazione di dati estremamente sensibili riguardanti la valutazione creditizia di 143 milioni di utenti, circa metà della popolazione statunitense: un bersaglio ghiottissimo per truffe e furti d'identità di ogni genere.
Ora stanno emergendo i dettagli di questo attacco, e il comportamento di Equifax sta somigliando sempre più a una barzelletta amara.
Per esempio, l'attacco è stato reso possibile perché Equifax non aveva installato gli aggiornamenti di Apache Struts, secondo la Apache Software Foundation e le ammissioni della stessa Equifax.
Non ha certo complicato la vita agli intrusi il fatto che Equifax "proteggeva" uno dei suoi database in Argentina usando come login e password il classico admin:admin, come racconta CNBC.
E il ricercatore di sicurezza Kevin Beaumont ha trovato, pubblicamente accessibili sul sito di Equifax, i resoconti dell'audit di sicurezza effettuati qualche anno fa dalla KPMG.
Come li ha trovati? Facendo una semplice ricerca in Google.
Poco dopo la segnalazione, i documenti sono stati rimossi (non prima che me ne scaricassi una copia).
Equifax ha anche messo a disposizione degli utenti un servizio d'emergenza che generava un PIN per "proteggere" la propria situazione, ma è emerso che il PIN era semplicemente un numero progressivo composto dalla data e dall'ora corrente, quindi facilissimo da scoprire per forza bruta.
Come se tutto questo non bastasse, Ars Technica segnala che gli intrusi sono riusciti a raccogliere dati sulle transazioni di circa 200.000 carte di credito, risalenti oltretutto fino a novembre 2016.
Questo fatto indica che o Equifax non stava cifrando i dati delle carte o c'era un componente del suo software che dava accesso ai dati in forma decifrata; inoltre la conservazioni di questi dati sarebbe stata una violazione degli standard basilari del settore.
Ma ormai è piuttosto chiaro che ancora una volta una grande azienda del settore dei servizi è stata colta ad usare consapevolmente metodi e processi di sicurezza assolutamente inadeguati.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
|
|
|
(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.
Commenti all'articolo (3)
22-9-2017 21:34
20-9-2017 20:48
20-9-2017 14:06
|
|
||
|
- Al caffe' dell'Olimpo:
[GIOCO] Forza, storpiamo i detti popolari! - Internet - generale:
Womens In Your City - No Verify - Anonymous Adult
Dating - Tablet e smartphone:
Microsoft Surface e memoria sempre insufficiente - Software - generale:
Nomi utente su WhatsApp - Il salotto delle Muse:
Consigli per giovani scrittori - Pc e notebook:
Il portatile fa rumore da tosaerba... - Pronto Soccorso Virus:
Improvvisa scomparsa di Chrome sostituito da altro - Programmazione:
Come creare un documento .odt formattato - Al Caffe' Corretto:
SHEIN TEMU (-) La Certezza dello Sfruttamento
& INQUINAMENTO - La cucina dell'Olimpo:
Vini di qualità
